Alors que les pirates informatiques se tournent vers les langages de script pour développer rapidement de nouvelles variantes de malwares, plusieurs nouvelles variantes de logiciels malwares AutoHotKey ont été découvertes ces dernières semaines. La toute dernière ayant été découverte — le malware Fauxpersky — est très efficace pour voler les mots de passe.
AutoHotKey est un langage de script open source populaire. Il facilite la création de scripts pour automatiser et planifier des tâches, même à l’intérieur de logiciels tiers. Il est possible d’utiliser AutoHotKey pour interagir avec le système de fichiers local et la syntaxe est simple, ce qui le rend facile à utiliser, même sans grande connaissance technique. AutoHotKey permet de compiler des scripts dans un fichier exécutable qui peut être facilement exécuté sur un système.
Pour les développeurs de malwares, AutoHotKey reste toujours très utile. Les logiciels malwares AutoHotKey sont maintenant utilisés pour le keylogging et pour installer d’autres variantes de malwares comme les mineurs de cryptocurrences. La première de ces variantes a été découverte en février 2018.
Depuis, plusieurs autres variantes de logiciels malwares AutoHotKey ont été découvertes. Le dernier né étant Fauxpersky, ainsi nommé parce qu’il se fait passer pour un antivirus Kaspersky.
Les malwares Fauxpersky
Les malwares Fauxpersky manquent de sophistication, mais peuvent être considérés comme une menace importante. S’il n’est pas détecté, il permet aux attaquants de voler des mots de passe qui peuvent être utilisés pour des attaques très dommageables et de leur donner une prise sur le réseau.
Le malware Fauxpersky a été découvert par les chercheurs en sécurité informatique Amit Serper et Chris Black. Ils ont expliqué dans un récent article de blog que le malware n’est peut-être pas particulièrement avancé et furtif, mais il constitue une menace et pourrait permettre aux cybercriminels de voler des mots de passe pour avoir accès aux données.
Fauxpersky infecte les clés USB pour répandre le malware entre les périphériques. Il peut également se répliquer sur les lecteurs répertoriés du système. La communication avec les attaquants se fait via un formulaire Google, lequel est utilisé pour envoyer des mots de passe volés et des listes de frappes au clavier dans leurs boîtes de réception. Comme la transmission est chiffrée, il ne semble pas s’agir d’une exfiltration de données par les systèmes de surveillance du trafic.
Une fois installé, Fauxpersky renomme le lecteur et ajoute « Protected by Kaspersky Internet Security 2017 » au nom du lecteur. Le logiciel malveillant enregistre toutes les frappes au clavier effectuées sur un système et ajoute également un contexte pour aider les attaquants à déterminer ce que fait l’utilisateur. Le nom de la fenêtre dans laquelle le texte est tapé est ajouté au fichier texte.
Une fois que la liste des frappes a été envoyée, elle est supprimée du disque dur pour éviter toute détection.
Les chercheurs ont signalé cette nouvelle menace à Google. Celle-ci a été éliminée rapidement, mais d’autres menaces pourraient bien être créées pour la remplacer.
Les logiciels malwares AutoHotKey devraient devenir plus sophistiqués
Il est peu probable que les logiciels malwares AutoHotKey remplacent les langages de script plus puissants comme PowerShell. Pourtant, l’augmentation de l’utilisation de l’AutoHotKey, ainsi que le nombre de nouvelles variantes détectées ces dernières semaines suggèrent qu’il ne sera pas abandonné de sitôt.
Les logiciels malveillants AutoHotKey ont maintenant été découverts avec plusieurs fonctions d’obscurcissement pour les rendre plus difficiles à détecter. Cependant, de nombreux fournisseurs d’antivirus n’ont pas encore doté leurs logiciels de la capacité de détecter ces malwares.
À court et moyen terme, il est fort probable que nous assisterons à une explosion des variantes de logiciels malveillants AutoHotKey, en particulier les keyloggers qui sont conçus pour voler les mots de passe.